中博彩票是什么东西-Mirai出现新变种,内置有域名生成算法

2020-01-08 11:39:11|

中博彩票是什么东西-Mirai出现新变种,内置有域名生成算法

中博彩票是什么东西,e安全12月15日讯 新近被发现的mirai僵尸网络变种包含有域名生成算法(简称dga),安全研究人员警告称这一特性与此前任何已发现的mirai样本皆存在显著区别。

横行物联网的“mirai”恶意软件出现于几个月前,但其凭借着今年9月末指向安全博主brian krebs多个网站以及托管服务商ovh的数波规模巨大的分布式拒绝服务(简称ddos)攻击而广为人知。然而更令人震惊的是,就在今年10月初源代码被正式公布后,mirai又掀起了新一波威胁浪潮。

截至10月末,研究人员发现mirai已经感染了全球164个国家的设备。同样是在今年10月,mirai据称被用于组织针对dns服务商dyn公司的大规模ddos攻击,并直接导致美国众多高人气网站无法为用户正常访问。

不出所料,mirai源代码的公开直接导致众多新型恶意软件变种被创造出来,其中包括一款利用tr-064协议向受感染设备发送指令的mirai类蠕虫病毒。根据360网络安全研究实验室研究人员的说法,着眼于其从6台托管服务器处利用蜜罐捕捉到的数据,目前至少存在53种独特的mirai样本。

更重要的是,研究人员发现新的mirai样本通过tcp端口7547与5555进行传播。另外,研究人员还发现该恶意软件的作者所使用的dlinchkravitz[at]gmail[dot]com邮箱还注册了多个新的域名。

根据安全研究人员的说法,各经过分析的恶意软件样本采用3类顶级域名(简称tld),分别为.online、.tech以及.support,且各自配合由12个字符组成的二级域名,其中各字符从a到z这26个字母中随机选择。安全研究人员们还提醒称,其生成的域名是由月、日外加硬编码子字符串所构成。

然而,现在来看这些新的mirai变种只会在硬编码命令与控制(简称c&c)域名无法解析时才会使用这些dga域名。另外,该恶意软件每天只会生成一个域名,这意味着其每年的最大域名生成量为365个。研究人员已经能够成功预测这些域名。

根据分析样本可以看到,恶意软件当中包含3台硬编码c&c控制器,且其会生成一条随机数字以从前两台控制器中选择一台。然而,如果选定的域名无法解析,该恶意软件会根据当前日期重试并利用dga或者尝试解决第三条c&c域名。

在11月1日到12月3日之间,该恶意软件会选择解析第三个c&c域名,但在其它时段其会执行dga分支。基本上,作者并不希望在12月4日之前使用各dga域名,这与各域名的注册日期完全吻合。

“该域名基于子编号及当前日期生成。其子编号会通过调用strtol由一条硬编码hex格式客串转换得出。其中配置的一条\x90\x91\x80\x90\x90\x91\x80\x90字符串似乎存在错误,因为其会始终令strtol返回0值。其本地日期通过调用time及localtime两项c库函数获得。这里只使用月与日两个数值,”安全研究人员解释称。

在发现使用该dga功能的恶意软件样本之后,安全研究人员们注意到,其全部共享具有同样子字符串与算法形式的dga。